如何创建密钥资源(控制台) - Amazon IoT Greengrass
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

您正在查看Amazon IoT Greengrass Version 1.Amazon IoT Greengrass Version 2是最新的主要版本Amazon IoT Greengrass. 有关使用Amazon IoT Greengrass V2,请参阅Amazon IoT Greengrass Version 2开发人员指南.

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何创建密钥资源(控制台)

此功能适用于Amazon IoT Greengrass核心 v1.7 及更高版本。

本教程介绍如何使用 Amazon Web Services Management Console将密钥资源添加到 Greengrass 组。密钥资源是对 Amazon Secrets Manager 中密钥的引用。有关更多信息,请参阅 将密钥部署到 Amazon IoT Greengrass 核心

在存储库的Amazon IoT Greengrass核心设备、连接器和 Lambda 函数可以使用密钥资源对服务和应用程序进行身份验证,而无需对密码、令牌或其他凭证进行硬编码。

在本教程中,您需要先在 Amazon Secrets Manager 控制台中创建一个密钥。然后,在Amazon IoT Greengrass控制台中,将密钥资源从 Greengrass 组的资源页. 此密钥资源引用密钥管理器密钥。稍后,将此密钥资源附加到 Lambda 函数,这将允许该函数获取本地密钥的值。

注意

或者,在配置连接器或 Lambda 函数时,控制台允许您创建秘密资源和秘密资源。您可以从连接器的配置参数页面或 Lambda 函数的资源页.

只有包含密钥参数的连接器才可以访问密钥。有关介绍 Twilio 通知连接器如何使用本地存储的身份验证令牌的教程,请参阅Greengrass 连接器入门(控制台)

本教程包含以下概括步骤:

完成本教程大约需要 20 分钟。

Prerequisites

要完成此教程,需要:

  • Greengrass 组和 Greengrass 核心(v1.7 或更高版本)。要了解如何创建 Greengrass 组和核心,请参阅 开始使用 Amazon IoT Greengrass。“入门”教程还包含用于安装 Amazon IoT Greengrass Core 软件的步骤。

  • Amazon IoT Greengrass 必须配置为支持本地密钥。有关更多信息,请参阅密钥要求

    注意

    此要求包括允许访问密钥管理器密钥。如果您使用的是默认 Greengrass 服务角色,则 Greengrass 有权获取密钥的值,其名称以Greengrass

  • 要获取本地机密的值,用户定义的 Lambda 函数必须使用Amazon IoT Greengrass核心 SDK v1.3.0 或更高版本。

第 1 步:创建 Secrets Manager 密码

在本步骤中,使用 Amazon Secrets Manager 控制台创建密钥。

  1. 登录到 Amazon Secrets Manager 控制台

    注意

    有关此过程的更多信息,请参阅步骤 1: 创建并存储在Amazon Secrets Manager中的Amazon Secrets Manager用户指南

  2. 选择存储新密钥

  3. Select secret type (选择密钥类型) 下,选择 Other type of secrets (其他密钥类型)

  4. Specify the key-value pairs to be stored for this secret (指定要为此密钥存储的键值对) 下:

    • 对于,输入 test

    • 对于,输入 abcdefghi

    
                        在 Secrets Manager 控制台中指定密钥的键和值。
  5. 请确保为加密密钥保持选中 DefaultEncryptionKey,然后选择 Next (下一步)

    注意

    您不需要通过Amazon KMS如果您使用默认的Amazon密钥管理器在您的帐户中创建的托管密钥。

  6. 对于密钥名称,输入 greengrass-TestSecret,然后选择下一步

    注意

    默认情况下,Greengrass 服务角色允许Amazon IoT Greengrass获取密钥的值,其名称以Greengrass。有关更多信息,请参阅密钥要求

  7. 本教程不需要轮换,因此,请选择 Disable automatic rotation (禁用自动轮换),然后选择 Next (下一步)

  8. Review (审核) 页上,审核您的设置,然后选择 Store (存储)

    接下来,在 Greengrass 组中创建一个引用该密钥的密钥资源。

第 2 步:将密钥资源添加到 Greengrass 组

在此步骤中,配置一个引用密钥 Secrets Manager 钥的组资源。

  1. 在Amazon IoT控制台的导航窗格中,选择Greengrass经典型 (V1)Groups

  2. 选择要将密钥资源添加到的组。

  3. 在组配置页面上,选择 Resources (资源),然后选择 Secret (密钥)。此选项卡显示属于该组的密钥资源。您可以从此选项卡添加、编辑和删除密钥资源。

    
                组的“Resources (资源)”页面上的“Secret (密钥)”选项卡。
    注意

    或者,在配置连接器或 Lambda 函数时,控制台允许您创建秘密资源和秘密资源。您可以从连接器的配置参数页面或 Lambda 函数的资源页.

  4. 选择 Add a secret resource (添加密钥资源)

  5. Add a secret resource to your group (向组中添加密钥资源) 页面上,选择 Select (选择),然后选择 greengrass-TestSecret

    
                        “Add a secret resource to your group (向组中添加密钥资源)”页面,突出显示了“Select (选择)”。
  6. Select labels (Optional) (选择标签 (可选)) 页面上,选择 Next (下一步)。AWSCURRENT 暂存标签表示最新版密钥。该标签始终包含在密钥资源中。

    注意

    本教程只需要 AWSCURRENT 标签。您可以视情况包括 Lambda 函数或连接器所需的标签。

  7. Name your secret resource (为密钥资源命名) 页面上,输入 MyTestSecret,然后选择 Save (保存)

第 3 步:创建 Lambda 函数部署程序包

要创建 Lambda 函数,您必须先创建 Lambda 函数部署程序包包含函数代码和依赖项。Greengrass Lambda 函数需要Amazon IoT Greengrass核心开发工具包用于在核心环境中与 MQTT 消息进行通信和访问本地机密等任务。本教程将创建一个 Python 函数,因此您可以在部署包中使用 SDK 的 Python 版本。

注意

要获取本地机密的值,用户定义的 Lambda 函数必须使用Amazon IoT Greengrass核心 SDK v1.3.0 或更高版本。

  1. Amazon IoT Greengrass核心开发工具包下载页面,下载Amazon IoT Greengrass核心软件开发工具包到您的计算机。

  2. 解压缩下载的程序包以获取软件开发工具包。软件开发工具包是 greengrasssdk 文件夹。

  3. 将以下 Python 代码函数保存在名为 secret_test.py 的本地文件中。

    import greengrasssdk secrets_client = greengrasssdk.client('secretsmanager') iot_client = greengrasssdk.client('iot-data') secret_name = 'greengrass-TestSecret' send_topic = 'secrets/output' def function_handler(event, context): """ Gets a secret and publishes a message to indicate whether the secret was successfully retrieved. """ response = secrets_client.get_secret_value(SecretId=secret_name) secret_value = response.get('SecretString') message = (f'Failed to retrieve secret {secret_name}.' if secret_value is None else f'Successfully retrieved secret {secret_name}.') iot_client.publish(topic=send_topic, payload=message) print('Published: ' + message)

    这些区域有:get_secret_value函数支持密钥 Secrets Manager 钥的名称或 ARN。SecretId值。此示例使用密钥名称。对于此示例密钥,Amazon IoT Greengrass 返回键值对:{"test":"abcdefghi"}

    重要

    确保您的用户定义的 Lambda 函数安全地处理密钥,并且不记录任何存储在秘密中的敏感数据。有关更多信息,请参阅 。降低记录和调试 Lambda 函数的风险中的Amazon Secrets Manager用户指南。虽然本文档特别提到了旋转函数,但该建议也适用于 Greengrass Lambda 函数。

  4. 将以下项目压缩到名为 secret_test_python.zip 的文件中。在创建 ZIP 文件时,应仅包含代码和依赖项,而不包含文件夹。

    • secret_test.py。应用程序逻辑。

    • greengrasssdk。所有 Python Greengrass Lambda 函数必需的库。

    这是 Lambda 函数部署程序包。

第 4 步:创建 Lambda 函数

在此步骤中,您将使用Amazon Lambda控制台创建 Lambda 函数并将其配置为使用您的部署程序包。接着,发布函数版本并创建别名。

  1. 首先,创建 Lambda 函数。

    1. 在 Amazon Web Services Management Console中,选择 Services (服务),然后打开 Amazon Lambda 控制台。

    2. 选择创建函数,然后选择从头开始创作

    3. Basic information (基本信息) 部分中,使用以下值:

      • 函数名称中,输入 SecretTest

      • 对于 Runtime (运行时),选择 Python 3.7

      • 适用于Permissions (权限),请保留默认设置。这将创建一个授予基本 Lambda 权限的执行角色。此角色未由Amazon IoT Greengrass。

    4. 在页面底部,选择创建函数

  2. 接下来,注册处理程序并上传 Lambda 函数部署程序包。

    1. 在存储库的代码选项卡,在代码源中,选择正在从。从下拉列表中,选择.zip 文件

      
                突出显示 .zip 文件的 “从上传” 下拉菜单。
    2. 选择上传,然后选择secret_test_python.zip部署程序包。然后,选择 Save (保存)

    3. 在存储库的代码选项卡,在运行时设置中,选择编辑,然后输入以下值。

      • 对于 Runtime (运行时),选择 Python 3.7

      • 对于 Handler (处理程序),输入 secret_test.function_handler

    4. 选择保存

      注意

      这些区域有:测试按钮Amazon Lambda控制台不适用于此函数。这些区域有:Amazon IoT Greengrass核心 SDK 不包含独立运行 Greengrass Lambda 函数所需的模块Amazon Lambda控制台。这些模块(例如,greengrass_common)在这些函数部署到您的 Greengrass 核心后提供给这些函数。

  3. 现在,发布 Lambda 函数的第一个版本并创建一个版本的别名

    注意

    Greengrass 组可以按别名(推荐)或版本引用 Lambda 函数。使用别名,您可以更轻松地管理代码更新,因为您无需在函数代码更新时更改订阅表或组定义。相反,您只需将别名指向新函数版本。

    1. Actions 菜单上,选择 Publish new version

    2. 对于 Version description (版本描述),输入 First version,然后选择 Publish (发布)

    3. SecretTest: 1 配置页面上,从操作菜单中选择创建别名

    4. 创建新别名页面上,使用以下值:

      • 对于名称,输入 GG_SecretTest

      • 对于 Version (版本),选择 1

      注意

      Amazon IoT Greengrass不支持$LATEST版本。

    5. 选择创建

现在,您可以将 Lambda 函数添加到 Greengrass 组并附加密钥资源。

第 5 步:将 Lambda 函数添加到 Greengrass 组

在该步骤中,将 Lambda 函数添加到 Greengrass 组中的Amazon IoT控制台。

  1. 在组配置页面上,选择 Lambdas,然后选择添加 Lambda

    
                突出显示“Lambdas”和“Add Lambda (添加 Lambda)”的组页面。
  2. 将 Lambda 添加到 Greengrass 组页面上,选择使用现有 Lambda

    
                突出显示“Use existing Lambda (使用现有 Lambda)”的“Add a Lambda to your Greengrass Group (将 Lambda 添加到 Greengrass 组)”页面。
  3. 使用现有的 Lambda 页面上,选择 SecretTest,然后选择下一步

  4. 选择 Lambda 版本页面上,选择 Alias:GG_SecretTest,然后选择完成

接下来,将密钥资源与函数关联。

第 6 步:将密钥资源附加到 Lambda 函数

在该步骤中,将密钥资源附加到 Greengrass 组中的 Lambda 函数。这会将资源与函数关联,从而允许函数获取本地密钥的值。

  1. 在组的 Lambda 页面上,选择 SecretTest 函数。

  2. 在函数的详细信息页面上,依次选择资源密钥Attach a secret resource (附加密钥资源)

    
                        “Resources (资源)”页面,突出显示了“Attach a secret resource (附加密钥资源)”。
  3. 在存储库的将秘密资源附加到您的 Lambda 函数页面上,选择选择秘密资源

  4. Select a secret resource from your group (从您的组中选择密钥资源) 页面上,选择 MyTestSecret,然后选择 Save (保存)

步骤 7:将订阅添加到 Greengrass 组

在该步骤中,您将添加允许Amazon IoT和 Lambda 函数来交换消息。一个允许 Amazon IoT 调用该函数的订阅,以及一个允许该函数向 Amazon IoT 发送输出数据的订阅。

  1. 在组配置页面中,选择 Subscriptions (订阅),然后选择 Add Subscription (添加订阅)

    
                突出显示“Subscriptions (订阅)”和“Add Subscription (添加订阅)”的组页面。
  2. 创建一个允许 Amazon IoT 向该函数发布消息的订阅:

    选择您的源和目标页面上,配置源和目标:

    1. 对于选择源,选择服务,然后选择 IoT Cloud

    2. 对于选择目标,选择 Lambda,然后选择 SecretTest

    3. 选择 Next

  3. 利用主题筛选您的数据页面上,对于主题筛选条件,输入 secrets/input,然后选择下一步

  4. 选择 Finish

  5. 重复执行步骤 1 至 4,以创建允许该函数向 Amazon IoT 发布状态的订阅。

    1. 对于选择源,选择 Lambda,然后选择 SecretTest

    2. 对于选择目标,选择服务,然后选择 IoT Cloud

    3. 对于 Topic filter (主题筛选条件),输入 secrets/output

步骤 8:部署 Greengrass 组

将组部署到核心设备。在部署期间,Amazon IoT Greengrass从密钥管理器中提取密钥的值并在核心上创建本地加密副本。

  1. 确保Amazon IoT Greengrass核心正在运行。根据需要在您的 Raspberry Pi 终端中运行以下命令。

    1. 要检查守护程序是否正在运行,请执行以下操作:

      ps aux | grep -E 'greengrass.*daemon'

      如果输出包含 root/greengrass/ggc/packages/ggc-version/bin/daemon 条目,则表示守护程序正在运行。

      注意

      路径中的版本取决于您的核心设备上安装的 Amazon IoT Greengrass 核心软件版本。

    2. 启动守护程序:

      cd /greengrass/ggc/core/ sudo ./greengrassd start
  2. 在组配置页面上,选择部署,然后从操作菜单中,选择部署

    
                突出显示“Deployments (部署)”和“Deploy (部署)”的组页面。
  3. 如果出现提示,请在配置设备搜索您的核心的方式页面上,选择自动检测

    这使得设备可以自动获取核心的连接信息,例如 IP 地址、DNS 和端口号。建议使用自动检测,不过 Amazon IoT Greengrass 也支持手动指定的终端节点。只有在首次部署组时,系统才会提示您选择发现方法。

    
                突出显示“Automatic detection (自动检测)”的“Configure how devices discover your core (配置设备搜索您的核心的方式)”页面。
    注意

    如果出现提示,请授予创建Greengrass 服务角色并将其与您的 Amazon Web Services 账户 在当前 Amazon Web Services 区域 。此角色允许Amazon IoT Greengrass访问您的资源Amazon服务。

    Deployments (部署) 页面显示了部署时间戳、版本 ID 和状态。完成后,部署的状态应显示为 Successfully completed (成功完成)

    有关问题排查帮助,请参阅Amazon IoT Greengrass 故障排除

测试 Lambda 函数

  1. 在存储库的Amazon IoT控制台主页,选择测试

    
                左侧窗格Amazon IoT控制台,突出显示了测试。
  2. 适用于订阅主题,请使用以下值,然后选择订阅

    属性

    订阅主题

    密钥/输出

    MQTT 负载显示

    将负载显示为字符串

  3. 适用于向主题,请使用以下值,然后选择发布调用该函数。

    属性

    主题

    密钥/输入

    Message

    保留默认消息。发布消息时,将调用 Lambda 函数,但本教程中的函数不处理消息正文。

    如果成功,则该函数会发布“成功”消息。

另请参阅